C:Documents and Settings (в Win7 — C:Users)
C:System Volume Information; (D: и другие диски — особенно, если на них включено)
c:RECYCLER и C:Recycled (в Win7 — C:$Recycle.Bin, и на других дисках)
C:WINDOWSsystem32
C:WINDOWSTemp — это уже зависит от того, где есть папка такая.
NorthSouth
При этом в папке C:Users%user%AppData или скажем C:Users%user%AppDataLocal не должно быть исполняемых файлов, таких как taskhost.exe.
В реестре чаще всего. Чтобы их от теда выковырять, нужно чуть быть знакомым с ним.
Ну для скана реестра для ленивых есть проги. Или сканируйте просто КурИт! «руткиты».
на самом деле им пофигу куда вставать — как хакер решит, так они и будут пытаться устанавливаться — их в любом случае пытаются программировать так, чтобы сходу они не были видны — на то они и трояны — тихо стоят в сторонке и крадут инфу, посылая в коммандный центр
Источник: www.playground.ru
Онлайн-запуск PT NAD 11
№1. Реестр операционной системы Windows. Профилактика проникновения троянских программ
Каждый раздел или подраздел реестра может содержать данные, называемые параметрами (ключами). Некоторые параметры хранят сведения для конкретных пользователей, другие хранят сведения, применимые ко всем пользователям компьютера. Параметр реестра имеет имя, тип данных и значение.
Следующая таблица содержит список типов данных, определенных и используемых системой.
| Тип данных | Описание |
| REG_BINARY | Необработанные двоичные данные. Большинство |
| сведений об аппаратных компонентах хранится в | |
| виде двоичных данных и выводится в редакторе | |
| реестра в шестнадцатеричном формате. | |
| REG_DWORD | Данные, представленные целым числом (4 байта). |
| Многие параметры служб и драйверов устройств | |
| имеют этот тип и отображаются в двоичном, | |
| шестнадцатеричном или десятичном форматах. | |
| REG_EXPAND_SZ | Строка данных переменной длины. Этот тип данных |
| включает переменные, обрабатываемые при | |
| использовании данных программой или службой. | |
| REG_MULTI_SZ | Многострочный текст. Этот тип, как правило, имеют |
| списки и другие записи в формате, удобном для | |
| чтения. Записи разделяются пробелами, запятыми | |
| или другими символами. | |
| REG_SZ | Текстовая строка фиксированной длины. |
| REG_FULL_RESOURCE_DESCRIPTOR | Последовательность вложенных массивов, |
| разработанная для хранения списка ресурсов | |
| аппаратного компонента или драйвера. |
Реестр содержит важные данные о компьютере, его приложениях и файлах. Злоумышленник может воспользоваться реестром для нанесения серьезного ущерба компьютеру. Очень важно поддерживать высокий уровень безопасности реестра.
Что такое идемпотентность, или история Васи и его приложения
По умолчанию администраторам предоставляется полный доступ ко всему реестру, в то время как другие пользователи в основном имеют полный доступ к разделам, относящимся к их собственным учетным записям (в том числе HKEY_CURRENT_USER) и доступ на чтение к разделам, относящимся к компьютеру и его программному обеспечению. Пользователи не имеют доступа к разделам, относящимся к учетным записям других пользователей.
Пользователи, имеющие соответствующие разрешения доступа к разделу, могут изменять разрешения на доступ к этому разделу и любым содержащимся в нем разделам. «Троянский конь» — это вредительская программа, полученная путем явного изменения или добавления команд в пользовательскую программу. «Троянская программа» может мешать работе пользователя, шпионить за пользователем, использовать ресурсы компьютера для какойлибо незаконной деятельности и т.д. Потенциальными местами записей «троянских программ» в системном реестре являются разделы, описывающие программы, запускаемые автоматически при загрузке операционной системы от имени пользователя и системы.
Задание. Проверить потенциальные места записей «троянских программ» в системном реестре операционной системы Windows. 1. Проверить содержимое параметра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon По умолчанию этот параметр имеет значение C:Windowssystem32userinit.exe Если в значении содержатся дополнительные записи, то это могут быть «троянские программы». В этом случае проанализируйте место расположения программы, обратите внимание на время создания файла. 2. Проверить раздел автозапуска Run
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Проанализируйте записи раздела. Какие программы автоматически запускаются при загрузке Windows. Выделите записи, вызывающие подозрения. Зафиксируйте этапы работы, используя скриншоты (Alt + PrintScreen). Составьте отчет о результатах проверки. Контрольные вопросы.
1. Что такое системный реестр Windows? 2. Расскажите о структуре реестра. 3. Поясните особенности «троянских программ». 4. Почему профилактика «троянских программ» связана с системным реестром? 5. Какие разделы и ключи являются потенциальными местами записей «троянских программ»?
Будьте внимательны при работе с реестром! Некорректное использование редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы.
Источник: studfile.net
Реестр операционной системы Windows. Профилактика проникновения троянских программ
1. Проверить содержимое параметра
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
2. Проверить раздел автозапуска Run
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Файлы: 1 файл
Санкт-Петербургский национальный исследовательский университет
информационных технологий, механики и оптики
Факультет Компьютерных Технологий и Управления
Кафедра Безопасные Информационные Технологии
Дисциплина “Защита Информационных Процессов в Компьютерных Системах”
Отчет по лабораторной работе № 2
“ Реестр операционной системы Windows. Профилактика проникновения троянских программ ”
Студент группы № 1131
1. Проверить содержимое параметра
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionWinlogon
2. Проверить раздел автозапуска Run
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows CurrentVersionRun
1.Реестр Windows или системный реестр (англ. Windows Registry) — иерархически построенная база данных параметров и настроек в большинстве операционных систем Microsoft Windows.Реестр содержит информацию и настройки для аппаратного обеспечения, программного обеспечения, профилей пользователей, предустановки. Большинство изменений в Панели управления, ассоциации файлов, системные политики, список установленного ПО фиксируются в реестре.Реестр Windows был введён для упорядочения информации, хранившейся до этого во множестве INI-файлов.